FXS

FXS Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем добавляет текст в зашифрованные файлы. Требования о выкупе не найдены. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> FXS

Сайт "ID Ransomware" идентифицирует это как CryptoJoker. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине октября 2021 г. Ориентирован на англоязычных и русскоязычных пользователей, может распространяться по всему миру.

Обычная записка с требованием выкупа не обнаружена. 

К зашифрованным файлам добавляется расширение: .fxs 

Также используется интересный маркер файлов. Английская и русско-язычная версии представлены на картинках. 

Содержание английского текста в маркере файлов:
A HOLD UP OF THE VIRUS WINDOWS... V*A ATTACK VIRUS WINDOWS*. THIS FORMAT IS HOLD UPON A ATTACK VIRUS WINDOWS FXS 

Содержание русскоязычного текста в маркере файлов::
*** не предоставлено ***

Есть ещё следующее сообщение.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BabyDuck

BabyDuck Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.055 BTC, чтобы вернуть файлы. Оригинальное название: BabyDuck. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
ALYac -> 
Avira (no cloud) -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> BabyDuck

Сайт "ID Ransomware" идентифицирует это как BabyDuck. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .babyduck

Записка с требованием выкупа называется: README.babyduck

Содержание записки о выкупе:

 ____        _             _____              _

 |  _ \      | |           |  __ \           | |

 | |_) | __ _| |__  _   _  | |  | |_   _  ___| | __

 |  _ < / _` | '_ \| | | | | |  | | | | |/ __| |/ /       o<

 | |_) | (_| | |_) | |_| |_| |__| | |_| | (__|   <     >{=}

 |____/ \__,_|_.__/ \__, (_)_____/ \__,_|\___|_|\_\

                     __/ |                             _

                    |___/ |                           | |

   __ _ _   _  __ _  ___| | __   __ _ _   _  __ _  ___| | __

  / _` | | | |/ _` |/ __| |/ /  / _` | | | |/ _` |/ __| |/ /

 | (_| | |_| | (_| | (__|   <  | (_| | |_| | (_| | (__|   <

  \__, |\__,_|\__,_|\___|_|\_\  \__, |\__,_|\__,_|\___|_|\_\

     | |                           | |

     |_|                           |_|

Ducky has got your files encrypted!

This happened because you were not paying attention to your security.

Ducky will give you your files back if you pay him a bit of crypto.

Use TOR browser (https://www.torproject.org/download/) and follow this link

babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Don't worry, if you behave and pay - you'll get your files back;)

YOUR KEY IS

[redacted 64 lowercase hex]:[redacted 32 lowercase hex]

Перевод записки на русский язык:

Даки зашифровал ваши файлы!

Это произошло из-за того, что вы не обращали внимания на свою безопасность.

Даки вернет вам ваши файлы, если вы заплатите ему немного криптовалюты.

Воспользуйтесь браузером TOR (https://www.torproject.org/download/) и перейдите по этой ссылке.

babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Не волнуйтесь, если будете хорошо себя вести и заплатите - вы получите свои файлы обратно;)

ВАШ КЛЮЧ

***

Скриншоты с сайта вымогателей:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Неизвестно как это распространяется. Вполне может начать распространяться одним из известных способов, например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.babyduck - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: babydovegkmhbontykziyq7qivwzy33mu4ukqefe4mqpiiwd3wibnjqd.onion

Tox chat: 884DB530A*** 
BTC: 1Jhy2u81RbUQnu23wykuLvK3KhYCmmdAWA

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage 
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HarpoonLocker

HarpoonLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На исполняемом файле может быть написано: Locker.exe и Update Runner Service. Написан на языке программирования: C#. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.34551
BitDefender -> Gen:Trojan.Heur.DNP.bm0@a0CFKJi
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ALQ
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.Winlock.MSIL.Generic
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Rising -> ***
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Dyqt
TrendMicro -> Ransom_Encoder.R002C0WKL21
---

© Генеалогия: Salma ? >> HarpoonLocker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 


Активность этого крипто-вымогателя была в первой половине 2021 г. и продолжилась в ноябре 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: restore-files.txt

Записка от 10 октября 2021 г.

Содержание записки о выкупе:

- Hello - 

What happened?

All of your important files have been encrypted and all sensitive data was stolen.

The only way to restore your files and keep your data from going public is to contact us.

After a payment has been made you will be given access to decryption software.

As a quarantee we will decrypt 3 files for free.

If you don't contact us within 72 hours the price will be doubled.

Instructions

 - Download qTOX messanger from https://qtox.github.io/

 - Send message to this Tox ID: 3728E933284CE638D06FCF1CBE921096E102508BD370D6D23137D3271EE57***************

 Your message should contain your Unique Key: 003234749738607*****

Перевод записки на русский язык:

- Привет -

Что случилось?

Все ваши важные файлы зашифрованы, а все конфиденциальные данные украдены.

Единственный способ восстановить ваши файлы и предотвратить разглашение ваших данных - это связаться с нами.

После оплаты вам будет предоставлен доступ к программе для расшифровки.

В качестве гарантии мы бесплатно расшифруем 3 файла.

Если вы не свяжетесь с нами в течение 72 часов, цена будет удвоена.

инструкции

  - Загрузите мессенджер qTOX с https://qtox.github.io/

  - Отправьте сообщение на этот идентификатор Tox: 3728E933284CE638D06FCF1CBE921096E102508BD370D6D23137D3271EE57***************

  Ваше сообщение должно содержать ваш уникальный ключ: 003234749738607*****

Записка от 18 ноября 2021 г.

Содержание записки о выкупе:

What happened? 

All of your important files have been encrypted and all sensitive data was stolen. 

The only way to restore your files and keep your data from going public is to contact us. 

After a payment has been made you will be given access to decryption software. 

As a quarantee we will decrypt 3 files for free. If you don't contact us within 72 hours the price will be doubled. 

Instructions

- Download qTOX messanger from https://qtox.github.io/ 

- Send message to this Tox ID: 040068DA8E9AF9B3C791CE8E21B47C3E35D29BF283529C84A0167A57B5CCE***************

- Alternatively you can send an email to this address: harpoonlocker@onionmail.com Your message should contain your Unique Key: 910505774972585*****

Перевод записки на русский язык:

Что случилось?

Все ваши важные файлы зашифрованы, а все конфиденциальные данные украдены.

Единственный способ вернуть ваши файлы и предотвратить разглашение ваших данных - это контакт с нами.

После оплаты вам будет предоставлен доступ к программе для расшифровки.

В качестве гарантии мы бесплатно расшифруем 3 файла. Если вы не свяжетесь с нами в течение 72 часов, цена будет удвоена.

Инструкции

- Загрузите мессенджер qTOX с https://qtox.github.io/

- Отправьте сообщение на этот Tox ID: 040068DA8E9AF9B3C791CE8E21B47C3E35D29BF283529C84A0167A57B5CCE***************

- В качестве альтернативы вы можете отправить email на этот адрес: harpoonlocker@onionmail.com. Ваше сообщение должно содержать ваш уникальный ключ: 910505774972585*****

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restore-files.txt - название файла с требованием выкупа;
Locker.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы: 
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: harpoonlocker@onionmail.com 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1d2b8fec867dc55d7dbf4e8e939624e9

SHA-1: f1f7e169bf2ee992ebc367cc4da7e43c8d3db956

SHA-256: fcbcb01f4237a4462a2204d08fb1a4613f41d89eaf765f456463d7fa45e7d260

Vhash: 23403655151180aa1e1221c1

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 27 ноября 2021:

Расширение: .locked

Записка: restore-files.txt

Файл: Locker.exe

Результаты анализов: VT + HA + TG + AR + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34615

BitDefender -> Trojan.Ransomware.Salma.A

ESET-NOD32 -> A Variant Of MSIL/Filecoder.ALQ

Microsoft -> Ransom:MSIL/HarpoonLocker.PA!MTB

TrendMicro -> Ransom_HarpoonLocker.R002C0DKR21

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Idan Battat (Intezer), quietman7 (BleepingComputer)
 Andrew Ivanov (article author) 
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SayLess

SayLess Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: SayLess Ransomware, SayLess-Ransomware. На файле написано: SayLessRnm Window.exe и SayLessRnm Window. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.34411
BitDefender -> Trojan.GenericKD.37749517
ESET-NOD32 -> A Variant Of MSIL/Agent.CCK
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Gen.gen
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> SayLess 

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Образец этого крипто-вымогателя был найден в начале октября 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .saylessrsnm

Записка с требованием выкупа называется: SAYLESS-RANSOMWARE.saylessrsnm.txt

Содержание записки о выкупе:

Your computer has been infected by SayLess-Ransomware.

All your data and files have been encrypted with a MILITARY-GRADE LEVEL ENCRYPTION. To unlock them,

 send 500$ to the BTC adress below to get decryption key and restore your data...

Or else your files are lost!

DO NOT TURN OFF YOUR PC, IF YOU SO ALL YOUR FILES WILL BE CORRUPTED FOREVER.

Encryption Log:

====================================

C:\Users\Admin\Desktop\AssertOptimize.rtf

C:\Users\Admin\Desktop\CheckpointUnblock.mhtml

C:\Users\Admin\Desktop\ConfirmApprove.crw

C:\Users\Admin\Desktop\ConvertToPublish.xlsx

C:\Users\Admin\Desktop\DebugSkip.png

C:\Users\Admin\Desktop\desktop.ini

C:\Users\Admin\Desktop\DisableExpand.midi

C:\Users\Admin\Desktop\DismountPing.htm

C:\Users\Admin\Desktop\ExportSave.midi

C:\Users\Admin\Desktop\FindMount.DVR-MS

C:\Users\Admin\Desktop\GrantImport.doc

C:\Users\Admin\Desktop\InstallCopy.bat

C:\Users\Admin\Desktop\InstallFind.scf

C:\Users\Admin\Desktop\MeasureSplit.ps1

C:\Users\Admin\Desktop\MoveHide.mp4

C:\Users\Admin\Desktop\OutEnter.mp4

C:\Users\Admin\Desktop\RedoTrace.edrwx

C:\Users\Admin\Desktop\RenameDisconnect.odp

C:\Users\Admin\Desktop\SkipAdd.png

C:\Users\Admin\Desktop\SplitProtect.pot

C:\Users\Admin\Desktop\StepPublish.MTS

C:\Users\Admin\Desktop\UndoAdd.eprtx

C:\Users\Admin\Desktop\UnregisterSwitch.rmi

C:\Users\Admin\Desktop\UnregisterUndo.pps

C:\Users\Admin\Pictures\AddGet.dwg

C:\Users\Admin\Pictures\BlockDisable.dxf

C:\Users\Admin\Pictures\CheckpointSelect.dxf

C:\Users\Admin\Pictures\CompressStart.eps

C:\Users\Admin\Pictures\ConnectEnable.dib

C:\Users\Admin\Pictures\ConvertExit.svg

C:\Users\Admin\Pictures\ConvertToOpen.dib

C:\Users\Admin\Pictures\desktop.ini

C:\Users\Admin\Pictures\DisconnectBlock.eps

C:\Users\Admin\Pictures\DismountNew.wmf

C:\Users\Admin\Pictures\EnterUninstall.tif

C:\Users\Admin\Pictures\ExportPop.eps

C:\Users\Admin\Pictures\HidePing.emf

C:\Users\Admin\Pictures\HideReset.ico

C:\Users\Admin\Pictures\MeasureDebug.tif

C:\Users\Admin\Pictures\OpenTrace.tif

C:\Users\Admin\Pictures\ProtectConfirm.png

C:\Users\Admin\Pictures\ProtectSync.bmp

C:\Users\Admin\Pictures\PublishCompare.dwg

C:\Users\Admin\Pictures\PushCheckpoint.ico

C:\Users\Admin\Pictures\RegisterReset.bmp

C:\Users\Admin\Pictures\ResolveEdit.emf

C:\Users\Admin\Pictures\SendHide.pcx

C:\Users\Admin\Pictures\StepConvertFrom.png

C:\Users\Admin\Pictures\SuspendClose.emz

C:\Users\Admin\Pictures\UnblockInvoke.tif

C:\Users\Admin\Pictures\UpdateConvertTo.jpg

C:\Users\Admin\Pictures\Wallpaper.jpg

C:\Users\Admin\Documents\Are.docx

C:\Users\Admin\Documents\BlockApprove.vsd

C:\Users\Admin\Documents\CompleteFind.wps

C:\Users\Admin\Documents\ConfirmExit.mpp

C:\Users\Admin\Documents\ConvertToDisconnect.wps

C:\Users\Admin\Documents\desktop.ini

C:\Users\Admin\Documents\DismountInitialize.ppt

C:\Users\Admin\Documents\ExitRegister.vsw

C:\Users\Admin\Documents\ExitSend.odt

C:\Users\Admin\Documents\ExitSuspend.xlt

C:\Users\Admin\Documents\Files.docx

C:\Users\Admin\Documents\GrantSend.vsw

C:\Users\Admin\Documents\LimitRegister.doc

C:\Users\Admin\Documents\MeasureSuspend.rtf

C:\Users\Admin\Documents\Opened.docx

C:\Users\Admin\Documents\Recently.docx

C:\Users\Admin\Documents\RegisterSplit.ppt

C:\Users\Admin\Documents\RevokeOptimize.pot

C:\Users\Admin\Documents\SendFormat.potm

C:\Users\Admin\Documents\SuspendDeny.ppsx

C:\Users\Admin\Documents\These.docx

C:\Users\Admin\Documents\UnlockWrite.ods

C:\Users\Admin\Documents\UnregisterExit.vsdx

C:\Users\Admin\Documents\UseResolve.pptx

C:\Users\Admin\Documents\WritePing.docx

Перевод записки на русский язык:

Ваш компьютер заражен SayLess-Ransomware.

Все ваши данные и файлы зашифрованы ШИФРОВАНИЕ ВОЕННОГО УРОВНЯ. Чтобы разблокировать их, отправьте 500$ на BTC-адрес  ниже, чтобы получить ключ дешифрования и восстановить ваши данные ...

В противном случае ваши файлы потеряны!

НЕ ВЫКЛЮЧАЙТЕ ПК, ИНАЧЕ ВСЕ ВАШИ ФАЙЛЫ БУДУТ ПОВРЕЖДЕНЫ НАВСЕГДА.

Журнал шифрования:

***

Записка с требованием выкупа также написана на экране блокировки с таймером и BTC-адресом: 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Ничего не известно о распространении, вероятно этот образец является тестовым или неотлаженным вариантом. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SAYLESS-RANSOMWARE.saylessrsnm.txt - название файла с требованием выкупа; 
SayLessRnm Window.exe - название вредоносного файла; 

SayLessRnm Window.pdb - название файла проекта. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\Desktop\SAYLESS-RANSOMWARE.saylessrsnm.txt

C:\Users\Admin\AppData\Local\Temp\SayLessRnm Window.exe

C:\Users\Sermicro\source\repos\SayLessRnm Window\SayLessRnm Window\obj\Debug\SayLessRnm Window.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 52c527df9e7554e940c3c45b4e9b3e30

SHA-1: ae182f41baae6a5f3c05803933ba77578772233c

SHA-256: a6339f9ef7c91bc792626ff3765a46809dcada083c93a7e63fd01b0e91c1bb90

Vhash: 255036751511908615203020

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage 
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.